PG2 BYPASS源码阅读 学习x64解密定时器、特征码定位

最新推荐文章于 2023-12-28 10:28:39 发布
最新推荐文章于 2023-12-28 10:28:39 发布
阅读量2.2k 收藏
点赞数
分类专栏: 内核研究 文章标签: timer null table database random object

以前没有接触过x64内核编程,借这份代码来学习一下,源码 http://www.codeproject.com/Articles/28318/Bypassing-PatchGuard-3


之前说到过PG3的一些机制,下面根据源码回顾一下


PG可能会queue一些dpc来触发syscheck,其中dpc context传入的是非传统地址,从而触发异常,转到异常处理去执行PG。

所以要判断dpc context

BOOLEAN CheckSubValue(ULONGLONG InValue)
{
	ULONG			i;
	ULONG			Result;
	UCHAR*			Chars = (UCHAR*)&InValue;

	// random values will have a result around 120...
	Result = 0;

	for(i = 0; i < 8; i++)
	{
		Result += ((Chars[i] & 0xF0) >> 4) + (Chars[i] & 0x0F);
	}

	// the maximum value is 240, so this should be safe...
	if(Result < 70)
		return TRUE;

	return FALSE;
}

BOOLEAN PgIsPatchGuardContext(void* Ptr)
{
	ULONGLONG		Value = (ULONGLONG)Ptr;
	UCHAR*			Chars = (UCHAR*)&Value;
	LONG			i;

	// this is a requirement for a canonical pointer...
	//合法地址
	if((Value & 0xFFFF000000000000) == 0xFFFF000000000000)
		return FALSE;

	//0 也不是非法的
	if((Value & 0xFFFF000000000000) == 0)
		return FALSE;

	// sieve out other common values...
	//检测随机数?
	if(CheckSubValue(Value) || CheckSubValue(~Value))
		return FALSE;

	if(Ptr == NULL)
		return FALSE;

	//This must be the last check and filters latin-char UTF16 strings...
	//检测字符串
	for(i = 7; i >= 0; i -= 2)
	{
		if(Chars[i] != 0)
			return TRUE;
	}

	// this should only return true if the pointer is a unicode string!!!
	return FALSE;
}

这个检测还是考虑了不少情况,接下来是获得dpc加密key的方法 


NTSTATUS PgInitialize()
{
	void*				SymbolArray[MAX_SYMBOL_COUNT];
	void*				ValidationArray[MAX_SYMBOL_COUNT];
	void*				IntersectionArray[MAX_SYMBOL_COUNT];
	ULONG				iSymbol;
	ULONG				Index;
	ULONG				MatchCount;
	KTIMER				TestTimer;
	KDPC				TestTimerDpc;
	LARGE_INTEGER		TimerDueTime = {0};

	ASSERT(KeGetCurrentIrql() <= DISPATCH_LEVEL);

	/*
		Extract and validate methods...
		搜索同步用的未导出api,还是很谨慎的,用KeCancelTimer和KeSetTimerEx对比进行定位
	*/
	if(!ExtractSymbolAddresses((void*)KeCancelTimer, FALSE, 0xE8, OUT SymbolArray) ||
			!ExtractSymbolAddresses((void*)KeSetTimerEx, FALSE, 0xE8, OUT ValidationArray))
		return STATUS_NOT_SUPPORTED;
	
	if(IntersectSymbolAddresses(SymbolArray, ValidationArray, OUT IntersectionArray) != 5)
		return STATUS_NOT_SUPPORTED;

	KiAcquireDispatcherLockRaiseToSynch = IntersectionArray[0];
	KeAcquireQueuedSpinLockAtDpcLevel = IntersectionArray[1];
	KeReleaseQueuedSpinLockFromDpcLevel = IntersectionArray[2];
	KiReleaseDispatcherLockFromSynchLevel = IntersectionArray[3];
	KiExitDispatcher = IntersectionArray[4];

	/*
		Extract KiTimerTableListHead...
	*/
	if(!ExtractSymbolAddresses((void*)KeCancelTimer, TRUE, 0x8D48, OUT SymbolArray))
		return STATUS_NOT_SUPPORTED;

	if(!ExtractSymbolAddresses((void*)KeSetTimerEx, TRUE, 0x8D48, OUT ValidationArray))
		return STATUS_NOT_SUPPORTED;

	MatchCount = IntersectSymbolAddresses(SymbolArray, ValidationArray, OUT IntersectionArray);

	for(iSymbol = 0; iSymbol < MatchCount; iSymbol++)
	{
		if(ValidateTimerTable(IntersectionArray[iSymbol]))
		{
			// check if we found ambiguous symbol references
			KiTimerTableListHead = IntersectionArray[iSymbol];

			break;
		}
	}

	if(KiTimerTableListHead == NULL)
		return STATUS_NOT_SUPPORTED;

	/*
		Create test timer...

		We use a well known, probably unique DeferredContext for later identification...
	*/
	KeInitializeTimer(&TestTimer);
	KeInitializeDpc(&TestTimerDpc, OnTestTimerInvokation, (void*)PgInitialize);

	__try
	{
		KeSetTimerEx(&TestTimer, TimerDueTime, 10000, &TestTimerDpc);

		/*
			Extract KiWaitAlways and KiWaitNever

			一个特征码找到这两个值,然后验证
		*/
		if(!ExtractSymbolAddresses((void*)KeSetTimerEx, TRUE, 0x8B48, OUT SymbolArray))
			return STATUS_NOT_SUPPORTED;

		for(iSymbol = 0; iSymbol < MAX_SYMBOL_COUNT; iSymbol++)
		{
			if(SymbolArray[iSymbol] == NULL)
				break;

			for(Index = 0; Index < MAX_SYMBOL_COUNT; Index++)
			{
				if(SymbolArray[Index] == NULL)
					break;

				if(iSymbol == Index)
					continue;

				if(!ProbeAndSetKeys(
						&TestTimer,
						(ULONGLONG*)SymbolArray[iSymbol],
						(ULONGLONG*)SymbolArray[Index]))
					continue;

				return STATUS_SUCCESS;
			}
		}

		return STATUS_NOT_SUPPORTED;
	}
	__finally
	{
		// cleanup resources
		KeCancelTimer(&TestTimer);
	}
}

PG2非常简单,直接摘掉dpc了事 


BOOLEAN PgDisablePatchGuard(PDEVICE_OBJECT InDevice)
{
	KIRQL					OldIrql;
	ULONG					Index;
	PKSPIN_LOCK_QUEUE		LockQueue;
	PKTIMER_TABLE_ENTRY		TimerListHead;
	PLIST_ENTRY				TimerList;
	PKTIMER					Timer;
	PKDPC					TimerDpc;

	/*
		Lock the dispatcher database and loop through the timer list...

		We will cancel all timers that have a non-canonical DeferredContext.
	*/
	OldIrql = KiAcquireDispatcherLockRaiseToSynch();

	for(Index = 0; Index < TIMER_TABLE_SIZE; Index++)
	{
		LockQueue = KeTimerIndexToLockQueue((UCHAR)(Index & 0xFF));

		KeAcquireQueuedSpinLockAtDpcLevel(LockQueue);
		
		// now we can work with the timer list...
		TimerListHead = &KiTimerTableListHead[Index];
		TimerList = TimerListHead->Entry.Flink;

		while(TimerList != (PLIST_ENTRY)TimerListHead)
		{
			// is DPC patched?
			Timer = CONTAINING_RECORD(TimerList, KTIMER, TimerListEntry);
			TimerList = TimerList->Flink;
			TimerDpc = PgDeobfuscateTimerDpc(Timer);

			if(TimerDpc == NULL)
				continue;

			if(PgIsPatchGuardContext(TimerDpc->DeferredContext) && KeContainsSymbol(TimerDpc->DeferredRoutine))
			{
				// this will cancel the timer...
				Timer->Header.Inserted = FALSE;

				if(RemoveEntryList(&Timer->TimerListEntry))
					TimerListHead->Time.HighPart = 0xFFFFFFFF;
			}
		}

		KeReleaseQueuedSpinLockFromDpcLevel(LockQueue);
	}

	KiReleaseDispatcherLockFromSynchLevel();

	KiExitDispatcher(OldIrql);


	return TRUE;
}

Shevacoming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
x-frame-bypass:绕过X帧选项
05-10
X帧绕过绕过x-frame-options
NP学习笔记2 BYPASS NP
05-24
学会了如何bypass掉冒险的np. 我也是摸索出来的,参考MPC上的方法,还要感谢dubious的帮助 先讲讲跳过nProtect的思路 1. 首先你机器是一个WEB服务器。 2. 你的WEB端口为8086 3. 在你的WEB服务器的根目录里建立目录...
【DVWA系列】十三、CSP Bypass 绕过浏览器的安全策略(源码分析&漏洞利用)
Pluto.的博客
03-13 941
文章目录DVWACSP Bypass 绕过浏览器的安全策略一、Low 级别二、Medium 级别三、High 级别四、Impossible 级别 DVWA CSP Bypass 绕过浏览器的安全策略 什么是CSP? CSP即Content-Security-Policy,是指HTTP返回报文头中的标签,浏览器会根据标签中的内容,判断哪些资源可以加载或执行。翻译为中文就是内容安全策略。是为了缓解潜在的跨站脚本问题(XSS),浏览器的扩展程序系统引入了内容安全策略这个概念,原来应对XSS攻击时,主要采用函数过
spark源码分析之BypassMergeSortShuffleWriter
lzf的博客
08-06 2495
概述 spark1.6以后,取消了基于hash的shuffle,只剩下基于sort的shuffle。现在只存在以下三种shuffle writer: BypassMergeSortShuffleWriter UnsafeShuffleWriter SortShuffleWriter 其中,BypassMergeSortShuffleWriter实现带Hash风格的基于Sort的Shuffl...
哥斯拉木马解析 + bypass 免杀代分析+回调webshell
最新发布
m0_64180167的博客
12-28 1248
这里也是跟着大佬走的这里首先我是去看了看bypass 学习一下然后我们就可以发现对比我这里将混淆什么的都去掉下面是原版的哥斯拉能发现 确实通过特殊的编和对字符串的处理,实现bypass落地的时候确实火绒扫不出来我们将两种放到 阿里云中查看一下可以发现已经被识别到了(肯定是被抓特征了)这里我们首先就开始分析一下哥斯拉的php木马类别是 php xor base64这里是基本的代查看 这里有些是我自己加上去进行判断的这里给出一下大致流程顺便给出session的解释。
pg3 bypass源码阅读 —— 学习x64内核hook跳板技术
Returns' Station
07-28 3801
如之前描述的 pg3复杂了许多 先来看看都要hook哪些点 1、hook dpc和定时器分发器,防止seh路线触发pg KiTimerListExpire,KiRetireDpcList 看一下hook点 hook的就是call的位置。 这里有两种方案:一种是直接jmp + 64bit addr,显然有同步问题,需要暂停所有c
绕过微软内核系统PG_PatchGuard 在WIN7x64测试通过
追逐光芒,追随内心
10-28 1167
#include "struct.h" ULONG64 GetProcAddress(PSTR funcstr); PVOID sale_hook( IN PVOID hook_addr, IN PVOID Proxy_ApiAddress, OUT PVOID *Original_ApiAddress, OUT PDWORD PatchSize); VOID sale_unhook(IN PVOID ApiAddress, IN PVOID OriCode, IN ULONG PatchSiz.
PEx64-Injector:将x64位可执行文件注入到任何进程中,并将其屏蔽为合法的进程,以进行防病毒规避
03-04
PEx64进样器(过程迁移器)将任何x64 exe迁移到任何x64进程(Net FrameWork 3.5)无需管理员权限。GIF演示怎么用?下载。用法:Migrator.exe有效负载(fpath)Migratefile(fpath)示例:Migrator.exe C:\ Users \ ...
cinaproxy_win32_src_v07_bypassuac_源码
10-03
bypass user control access
免费阅读英文报刊bypass paywall
12-27
外刊阅读
12306免验证抢票工具 12年10日亲测可用C#源码
01-10
2012年抢票,12306,抢票助手,不用输入验证 亲测可用 C#源码可反编译的
ByPass_MIMIkatz
05-26
ByPass_MIMIkatz mimikatz 原版免杀,仅供安全研究 1、删除OR替换源码内相关特征;注释、无用空行等。 2、upx压缩,删除PE里面带upx相关字段。 3、伪造签名。 主要是思路,杀了重新做一份即可免杀 example windows.exe = x64 linux.exe = x86 更新 MiMikatz 版本:2.2.0 20200918 免杀时间:2021/01/24
xnu_bypass
03-08
XNU绕过 使用xnuspy绕过越狱检测。 笔记 地址已为iPhone 8 Plus / iOS 13.5进行硬编
openwrt-bypass
07-23
说下bypass的由来, 当初是 在我的TG群的时候fork lean的SSR PLUS修改而来的, 我和部分群员全程参与了功能方案的探讨和测试. 命名为Bypss和上传到我的github都是small_5同意的情况下进行的, 他也有在本仓库提交过Requests, 之后的Xray,Trojan-Go协议支持, 头部和底部的状态栏, 全部美化工作以及其他一些功能优化都是我完成的. 他退出我的TG群后又弄了OverXXX, 没有开源, Bypass后续的维护工作也是我在负责. 当初small_5在我群里因为一个群友说了句偏颜色的笑话就被他T了, 我还得私聊群友道歉, 我说了他几句, 他就自己主动退的群, 并没有任何不愉快, 我以为至少还是朋友, 他退群后我群里就再没人提到过他, 没说过他一句不好的话, 他却在他自己的群煽动群员日常活动就是骂我, 各种酸我技术差, 各种作妖, 用最大的恶意揣
win7x64动态过PG源码.rar
01-12
请编译后用虚拟机测试,不然出现蓝屏或系统损坏本人不负任何责任哦,请君想好再下载,切记切记!!!请编译后用虚拟机测试,不然出现蓝屏或系统损坏本人不负任何责任哦,请君想好再下载,切记切记!!!请编译后用虚拟机测试,不然出现蓝屏或系统损坏本人不负任何责任哦,请君想好再下载,切记切记!!!
易语言x64特征搜索技术(可搜索全内存范围0-7FFFFFFFFFFFFFFF)
hzw320的博客
10-22 7372
新模块里面我开发加入了对x64游戏操作的很多功能。 今天我来讲解下其中一个方面的功能,就是特征搜索方面的, 目前已经发布的模块版本中虽然有特征搜索的命令,但仅限于32位的程序使用, 所以对64位游戏进行特征定位搜索也是需要一个这样的功能的, 因为很多写64位游戏的用户需要更新辅助里各种基址, 就会需要用到特征来快速更新辅助所需的基址信息,所以这个功能也是尤为重要的。 为了方便使用我们Game-EC 驱动模块的人, 快速找到自己需要的命令名称,所以凡事对x64程序操作的命令名称我在模块里命令都以: x
特征提取
04-17
在linux平台下开发的程序,利用libcap实现捕包,然后对数据包进行统计分析,提取具有标志意义的特征,如端口等信息,可以实现对现行网络数据内容的评估
内存搜索超速(特征搜索模块,支持通配符)
06-20
易语言模块,内存搜索超速,特征搜索模块,支持通配符 比内存模糊搜索x64,内存搜索极速还快十倍不止! 是内存搜索的最佳模块,没有之一! 经过测试搜索植物大战僵尸0-FFFFFFFF只需要1秒! 仅供学习交流,请勿用于非法用途!
bypass和非bypass区别
05-18
Bypass和非Bypass是指计算机网络中的两种不同路由方式。 Bypass是一种路由方式,也称为直通式路由。当网络设备(如防火墙、负载均衡器等)出现故障或维护时,通过Bypass可以让网络流量直接绕过这些设备,而不会造成...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值